MS Sentinel 威脅情資指標的匯入

MS Sentinel提供的資料連接器可以將TI指標(Threat Intelligence Indicators)連接到 Microsoft Sentinel 工作區。

我們要設定 Microsoft Sentinel 以自動從這些TI服務匯入指標。第一個服務使用 TAXII 伺服器來允許提取指標。配置 TAXII 資料連接器以從服務中擷取指標。

其他的TI服務提供者不使用 TAXII 伺服器，但建立了與 Microsoft Sentinel 的推播整合(push integration)功能。我們可以按照說明設定威脅情報平台連接器。現在連接器正在流入 Microsoft Sentinel，SecOps 團隊可以使用這些指標作為其偵測查詢的一部分。

規劃

Microsoft Sentinel 可讓我們匯入組織使用的威脅指標，這可以強化安全分析師偵測已知威脅並確定其優先順序的能力。 Microsoft Sentinel 的多項功能隨後就可用或強化：

• 分析包括一組預定的規則模板，可以啟用這些模板來根據威脅指標中的日誌事件的匹配來產生告警和事故。
• Workbook提供有關匯入 Microsoft Sentinel 的威脅指標以及從與威脅指標相符的分析規則產生的任何告警的匯總資訊。
• Hunting queries允許資安人員在常見hunting場景中使用威脅指標。
• 當調查異常並尋找惡意行為時，Notebooks可以使用威脅標。

可以使用整合的TIP(Threat Intelligence Platform)產品之一、連接到 TAXII 伺服器或與 Microsoft Graph 安全指標 API 直接整合，將威脅指標串流到 Microsoft Sentinel。

有兩種威脅情資連接器。 TAXII 連接器和TIP連接器。兩個連接器都會寫入 ThreatIntelligenceIndicator table。這兩個連接器具有不同的配置過程。

連接TI TAXII connector

Microsoft Sentinel 與 TAXII 2.0 和 2.1 資料來源整合，以使用威脅情資進行監控、警報和搜尋。使用此連接器將威脅指標從 TAXII 伺服器傳送到 Microsoft Sentinel。威脅指標可以包括 IP 位址、網域、URL 和file hashes。

在 Azure 網站中，導覽至 Microsoft Sentinel > Data connectors，然後選擇Threat Intelligence — TAXII connector。

檢視連接器頁面：

1. Select Data connectors page.
2. Select Threat intelligence — TAXII.
3. select the Open connector page on the preview pane.
4. Specify the required and optional information in the text boxes.

• Friendly name (for server)
• API root URL
• Collection ID
• Username
• Password

5. Select Add to enable the connection.

設定 TAXII 伺服器清單顯示目前連接的 TAXII 伺服器以及上次接收指標的時間。

連接TIP連接器

Microsoft Sentinel 與 Microsoft Graph Security API 資料來源整合，以使用威脅情資進行監控、告警和搜尋。使用此連接器將威脅指標從威脅情資平台 (TIP)（例如 Threat Connect、Palo Alto Networks MindMeld、MISP 或其他整合應用程式）傳送到 Microsoft Sentinel。威脅指標可以包括 IP 位址、網域、URL 和file hashes。

將 Microsoft Sentinel 連接到TIP

1. 在 Microsoft Entra ID 中註冊應用程式以取得應用程式 ID、應用程式金鑰和 Microsoft Entra tenant ID。當設定使用與 Microsoft Graph Security tiIndicators API 直接整合的整合式 TIP 產品或應用程式時，這些資訊是必要的。
2. 為註冊的應用程式設定 API 權限：將 Microsoft Graph 應用程式權限 ThreatIndicators.ReadWrite.OwnedBy 新增至已註冊的應用程式。
3. 請 Microsoft Entra tenant Admin向組織的註冊應用程式授予管理員同意。從 Azure 網站：Microsoft Entra ID > App registrations > app name > View API Permissions > Grant admin consent for tenant name。
4. 透過指定以下內容，設定使用與 Microsoft Graph Security tiIndicators API 直接整合的 TIP 產品或應用，將指標傳送至 Microsoft Sentinel：

• The values for the registered application’s ID, secret, and tenant ID.
• For the target product, specify Microsoft Sentinel.
• For the action, specify alert.

5. In the Azure portal, navigate to Microsoft Sentinel > Data connectors and then select the Threat Intelligence Platforms (Preview) connector.

6. Select Open connector page, and then Connect.

7. To view the threat indicators imported into Microsoft Sentinel, navigate to Microsoft Sentinel Logs > SecurityInsights, and then expand ThreatIntelligenceIndicator.

用KQL檢視威脅指標

這些指標位於 ThreatIntelligenceIndicator table中。此table是其他 Microsoft Sentinel 功能（例如分析和工作簿）執行查詢的基礎。以下介紹如何在 ThreatIntelligenceIndicator table中尋找並檢視威脅指標。

使用 KQL 查看威脅指標。從 Microsoft Sentinel 選單的「General」部分選擇「Logs」。然後對 ThreatIntelligenceIndicator 執行查詢。

ThreatIntelligenceIndicator